2019/07/13

進入経路の検証

昨日公開した「Web Companion なるスパイウェア疑惑のあるソフトの進入を許してしまったため削除しました」の時点で不明だった進入経路について、検証を行いました。

検証について
検証手順
検証結果
アンインストールの検証
インストール時の再現性の確認
検証の結論

検証について

念のため、保存していた古いバージョンの K-Lite Codec Pack インストーラでも確認してみました。
このようなときに、壊れてもそれほど困らないサブのPCがあると便利ですね。怪しそうなURLでも疑いのあるインストーラでも気兼ねなく特攻できます。
本当に壊れたら復旧の手間がかかるので壊れないに越したことはありませんが、メインPCが壊れる場合と比べれば被害レベルが桁違いです。

さて、保存しているバージョンは 3.95_Mega と 10.00_Mega と 14.99_Mega の3種類です。古いほうから順番に次の手順に従ってインストールして、Web Companion の有無を確認します。

検証手順
  1. 準備。K-Lite Codec Pack も該当ソフトもインストールされていないことを確認
  2. インストーラを起動して、デフォルト設定のままインストール
    途中で該当ソフトをインストールするかの選択画面の有無を確認
    表示された場合はインストールを許可する
  3. Windowsを再起動して、通知領域、スタートメニュー、Program Files、コントロールパネルのプログラムと機能について該当ソフトの有無を確認
  4. 問題なければ次のバージョンをインストール
    古いバージョンは新しいバージョンのインストーラ実行時にアンインストールされます
検証結果
  • ver 10.00 → 14.99 へのバージョンアップにて「コーデックのインストール設定画面」と「最後のインストール内容確認画面」との間に該当ソフトのインストール選択画面が出現、該当ソフトのインストール許可を選択
  • 再起動後、通知領域、スタートメニュー、Program Files (x86)、コントロールパネルのプログラムと機能に該当ソフトを確認
アンインストールの検証

普通の方法ではアンインストールできないとの情報もあったため、普通にやるとどうなるかを確認しました。
  1. K-Lite Codec Pack を普通にアンインストール
    該当ソフトはインストールされたまま
  2. 該当ソフトを普通にアンインストール
    レジストリの次の場所にデータが残っており、完全にはアンインストールできていない
    HKEY_CURRENT_USER¥Software¥Lavassoft¥Web Companion¥
    HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥
     (後に、他にも残っているレジストリがあることが判明。アンインストール専用ソフトの使用の有無によらず。詳細はこちら
  3. レジストリエディタを起動して残っていたデータを手動で削除
    この時点で削除したのは上に記載した2つだけ
    (後に「lavasoft」「companion」で検索して見つかったもの全てを削除)
インストール時の再現性の確認

全く同じ ver14.99 のインストーラなのに、該当ソフトのインストール選択画面が表示される場合とされない場合とがあったため、上のアンインストールを行った状態で、次の手順にて再現性の確認を行いました。
インストール後アンインストール後は全て再起動を行っています。
  1. K-Lite Codec Pack ver14.99 のみをインストール
    該当ソフトのインストール選択画面は表示されず、再起動後も該当ソフトは確認できず
  2. K-Lite Codec Pack ver10.00 → 14.99 の更新インストール
    該当ソフトのインストール選択画面は表示されず、再起動後も該当ソフトは確認できず
  3. K-Lite Codec Pack ver3.95 → 10.00 → 14.99 の更新インストール
    該当ソフトのインストール選択画面は表示されず、再起動後も該当ソフトは確認できず

    4. ここで、レジストリの削除モレが発覚したため、やり直し

  4. K-Lite Codec Pack ver14.99 のみをインストール
    該当ソフトのインストール選択画面が表示された
    時短のため、ここでインストールを中止して、再起動もしないまま次の手順へ
  5. K-Lite Codec Pack ver10.00 → 14.99 の更新インストール
    10.00 のインストーラでは該当ソフトのインストール選択画面は表示されず、再起動後も該当ソフトは確認できず
    14.99 のインストーラにて該当ソフトのインストール選択画面が表示

    6. 時短のため、確認作業はここで終了

  6. K-Lite Codec Pack ver3.95 → 10.00 → 14.99 の更新インストール
    時短のため実施せず
結論

今回 Web Companion が進入した経路は K-Lite Codec Pack ver14.99_Mega のインストーラからだった可能性が非常に高いと言えます。

また、レジストリにデータが残っているか否かがインストール選択画面の表示の有無に影響していると考えられます。

メインPCはSSDなのですが、サブノートはHDD。SSDの起動速度に慣れてしまった身にとって、HDDでのインストール・アンインストール、再起動の繰り返しなかなかに耐え難いものでした。

結局、発覚後の対応と、進入経路の検証とで 1.5日使ってしまいました。
連休初日に何やってるんだろう・・・・・・

はっきりとした結果が得られたので、充実感は得ることができました。
By
Labels:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)